Tech Insights

【CVE-2024-51592】WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティングの脆弱性、早急な対応が必要に

【CVE-2024-51592】WordPress用プラグインMeta Store Eleme...

Patchstack OÜは2024年11月9日、WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.0.9以前に存在しており、DOM-BasedのXSSが可能な状態であることが判明。CVSSスコアは6.5でMedium(中程度)と評価されており、早急な対応が求められる。

【CVE-2024-51592】WordPress用プラグインMeta Store Eleme...

Patchstack OÜは2024年11月9日、WordPress用プラグインMeta Store Elementsにクロスサイトスクリプティング(XSS)の脆弱性が存在することを公開した。この脆弱性はバージョン1.0.9以前に存在しており、DOM-BasedのXSSが可能な状態であることが判明。CVSSスコアは6.5でMedium(中程度)と評価されており、早急な対応が求められる。

【CVE-2024-49381】Plentiの任意のファイル削除の脆弱性が発見、バージョン0.7.2で修正完了

【CVE-2024-49381】Plentiの任意のファイル削除の脆弱性が発見、バージョン0....

静的サイトジェネレーターPlentiにおいて、バージョン0.7.2未満に任意のファイル削除の脆弱性が発見された。/postLocalエンドポイントが影響を受けており、CVSSスコアは7.7(HIGH)と評価されている。この脆弱性は【CVE-2024-49381】として識別され、攻撃に特権レベルは不要だが利用者の関与が必要とされている。影響を受けるバージョンを使用しているユーザーは速やかにバージョン0.7.2へのアップデートが推奨される。

【CVE-2024-49381】Plentiの任意のファイル削除の脆弱性が発見、バージョン0....

静的サイトジェネレーターPlentiにおいて、バージョン0.7.2未満に任意のファイル削除の脆弱性が発見された。/postLocalエンドポイントが影響を受けており、CVSSスコアは7.7(HIGH)と評価されている。この脆弱性は【CVE-2024-49381】として識別され、攻撃に特権レベルは不要だが利用者の関与が必要とされている。影響を受けるバージョンを使用しているユーザーは速やかにバージョン0.7.2へのアップデートが推奨される。

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱性、SVGファイルを利用した攻撃に注意

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱...

GitHubはGitHub Enterprise Serverにおいて、攻撃者がアップロードしたアセットURLを介してユーザーのメタデータ情報を取得できる情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-9539として識別され、CVSSスコア5.7(MEDIUM)と評価された。バージョン3.14.2、3.13.5、3.12.10、3.11.16でパッチが提供され、修正が完了している。

【CVE-2024-9539】GitHub Enterprise Serverで情報漏洩の脆弱...

GitHubはGitHub Enterprise Serverにおいて、攻撃者がアップロードしたアセットURLを介してユーザーのメタデータ情報を取得できる情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-9539として識別され、CVSSスコア5.7(MEDIUM)と評価された。バージョン3.14.2、3.13.5、3.12.10、3.11.16でパッチが提供され、修正が完了している。

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの脆弱性、セキュリティアップデートで対応完了

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの...

Eclipse Foundationは2024年10月11日、Eclipse Mosquittoのバージョン2.0.18以前に深刻な脆弱性を確認した。特定のパケットシーケンスによってメモリリークやセグメンテーション違反、ヒープメモリの使用後解放などの問題が発生する可能性がある。CVSSスコアは7.2で深刻度「HIGH」と評価され、10月31日にリリースされたバージョン2.0.19で修正された。

【CVE-2024-8376】Eclipse Mosquitto 2.0.18にメモリリークの...

Eclipse Foundationは2024年10月11日、Eclipse Mosquittoのバージョン2.0.18以前に深刻な脆弱性を確認した。特定のパケットシーケンスによってメモリリークやセグメンテーション違反、ヒープメモリの使用後解放などの問題が発生する可能性がある。CVSSスコアは7.2で深刻度「HIGH」と評価され、10月31日にリリースされたバージョン2.0.19で修正された。

【CVE-2024-51662】WordPress用プラグインBlack Widgets For Elementorに深刻な脆弱性が発見、早急なアップデートの適用が必要に

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5(MEDIUM)と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5(MEDIUM)と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51610】WordPress Display Terms Shortcode1.0.4以下でXSS脆弱性が発見、早急な対応が必要に

【CVE-2024-51610】WordPress Display Terms Shortco...

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5(MEDIUM)と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51610】WordPress Display Terms Shortco...

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5(MEDIUM)と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51603】WordPressプラグインNMR Strava activitiesにXSS脆弱性が発見、バージョン1.0.6以前に影響

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51594】WordPress用プラグインGmap Point List 1.1.2にXSS脆弱性、メディアムレベルの危険性が判明

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理者権限での攻撃が可能な状態に

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1(MEDIUM)を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1(MEDIUM)を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11127】code-projects Job Recruitment 1.0でSQL injection脆弱性、管理者機能に重大な影響

【CVE-2024-11127】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。

【CVE-2024-11127】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリプティングの脆弱性が発見、早急なパッチ適用が推奨される状況に

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエストフォージェリの脆弱性、早急な対応が必要に

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエスト...

GetSimpleCMS 3.3.16においてprofile.phpファイルに関連するクロスサイトリクエストフォージェリの脆弱性が発見され、CVE-2024-11125として識別された。CVSSスコアは6.9を記録し、リモートからの攻撃が可能な状態である。ベンダーへの報告に対して反応がなく、早急な対応が求められている。

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエスト...

GetSimpleCMS 3.3.16においてprofile.phpファイルに関連するクロスサイトリクエストフォージェリの脆弱性が発見され、CVE-2024-11125として識別された。CVSSスコアは6.9を記録し、リモートからの攻撃が可能な状態である。ベンダーへの報告に対して反応がなく、早急な対応が求められている。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ参照の脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メモリ管理機能の改善でセキュリティ強化へ

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な脆弱性、nf_send_reset6()のクラッシュ問題に対処

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な...

Linux kernelの開発チームがnetfilterモジュールのnf_reject_ipv6コンポーネントにおける重大な脆弱性を修正。CVE-2024-50256として識別されたこの問題は、nf_send_reset6()関数でのクラッシュを引き起こす可能性があり、dev->hard_header_lenが0の状態でイーサネットヘッダー処理を試みることが原因。LL_MAX_HEADERを使用することで安定性を確保し、11月9日に修正版をリリース。

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な...

Linux kernelの開発チームがnetfilterモジュールのnf_reject_ipv6コンポーネントにおける重大な脆弱性を修正。CVE-2024-50256として識別されたこの問題は、nf_send_reset6()関数でのクラッシュを引き起こす可能性があり、dev->hard_header_lenが0の状態でイーサネットヘッダー処理を試みることが原因。LL_MAX_HEADERを使用することで安定性を確保し、11月9日に修正版をリリース。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大な脆弱性が発見、システムクラッシュのリスクに

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆弱性、IPv6アドレス管理機能を改善

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆...

Linuxカーネルのmlxswドライバーにおいて、spectrum_ipip機能のリモートIPv6アドレス変更時にメモリリークが発生する脆弱性が発見された。ip6greネットワークデバイスのリモートアドレス変更時に新しいアドレスがハッシュテーブルに追加されず、古いアドレスも削除されない問題が存在し、参照カウントの適切な処理による修正が実施された。

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆...

Linuxカーネルのmlxswドライバーにおいて、spectrum_ipip機能のリモートIPv6アドレス変更時にメモリリークが発生する脆弱性が発見された。ip6greネットワークデバイスのリモートアドレス変更時に新しいアドレスがハッシュテーブルに追加されず、古いアドレスも削除されない問題が存在し、参照カウントの適切な処理による修正が実施された。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnullポインタ参照の脆弱性が発見、システムの安定性に影響

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限の不正取得が可能に

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの脆弱性、情報漏洩とASLR回避のリスクに警戒

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ参照の脆弱性、ランタイムサスペンド時の深刻な問題に対処

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシステムのセキュリティが向上へ

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ整合性とセキュリティに影響

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-after-free脆弱性、参照カウント管理方式による修正を実施

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモリ読み取りの脆弱性、セキュリティ対策の回避が可能に

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、システムの安定性が向上

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプティングの脆弱性が発見、遠隔からの攻撃が可能に

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェクション脆弱性、データベース改ざんのリスクで緊急アップデートを推奨

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。